又被漏洞追着跑?log4j2升级到 2.23.1 操作流程

于 2024-06-15 20:55:00 发布
阅读量503 收藏 6
点赞数 3
文章标签: log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Javajdkbz/article/details/139708348
版权

背景

Java 用第三方开源包,免不了被漏洞追着跑,几乎每年都要对最新爆出的漏洞组件进行升级,今年要升级的是 log4j2 和 nacos,升级到最新版本。

本文介绍 log4j2 升级到最新版本 2.23.1 的过程。

整理了一份面试笔记包括了:Java面试、Spring、JVM、MyBatis、Redis、MySQL、并发编程、微服务、Linux、Springboot、SpringCloud、MQ、Kafka 面试专题

需要全套面试笔记的【点击此处即可】即可免费获取

依赖包

log4j2 其实用法很简单,涉及到的 jar 包只有 5 个:

  1. log4j-1.2-api-2.23.1.jar
  2. log4j-api-2.23.1.jar
  3. log4j-core-2.23.1.jar
  4. log4j-slf4j-impl-2.23.1.jar
  5. slf4j-api-1.7.x.jar

log4j2 使用的门面框架包 slf4j-api-1.7.x.jar ,这个很重要,不能盲目对这个包进行升级,否则会报下列警告:

 

bash
 

复制代码
 

SLF4J: No SLF4J providers were found. SLF4J: Defaulting to no-operation (NOP) logger implementation SLF4J: See https://www.slf4j.org/codes.html#noProviders for further details. SLF4J: Class path contains SLF4J bindings targeting slf4j-api versions 1.7.x or earlier. SLF4J: Ignoring binding found at [jar:file:/home/ultrasafe-SmartCollector-1.2/lib/commonlib/log4j-slf4j-impl-2.23.1.jar!/org/slf4j/impl/StaticLoggerBinder.class] SLF4J: See https://www.slf4j.org/codes.html#ignoredBindings for an explanation. 
 

门面包版本包不匹配时,日志直接被忽略了,别问我怎么知道的,这是我画蛇添足把这个包升级到 2.0.5 后得出的教训。
 

log4j2 的配置环境变量引用方法
 

额外补充一下我在将某项目从 log4j 升级到 log4j2 的过程中碰到的一个小问题,log4j.properties 中引用环境变量的方法是 ${系统变量} ,但是对于 log4j2.xml 配置文件中,这个方式不生效了,而是用 ${sys:系统变量} 方式引用系统变量。
 

启示录
 

log4j2 只要5个包,升级后其他 log4j 的 jar 可以删除了。升级过程除了自作聪明对门面升级而调坑外,比我想象的顺利多了。去掉了 log4j 后,至少可以消停一段时间了。

                

        

        

    




    

      

        

            

              
                
                  「已注销」
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    3
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    6
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
log4j-API-最新稳定版本log4j-1.2.17

				
			

			

				

					08-11
				

			

		

		

			
				
log4j-API-最新稳定版本log4j-1.2.17
apache  log4j-API-最新稳定版本log4j-1.2.17

			
		

	



                

              
                



	

		

			

				
					
【紧急】Log4j又发新版2.17.0,只有彻底搞懂漏洞原因,才能以不变应万变

				
			

			

				

					Tom弹架构
				

				

					12-20
					
					1913
					
				

			

		

		

			
				
1 事件背景
经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。

相信各位小伙伴都在加班加点熬夜紧急修复和改正Apache Log4j爆出的安全漏洞,各企业都瑟瑟发抖,连网警都通知各位站长,包括我也收到了湖南长沙高新区网警的通知。


			
		

	



                


  
              

                


	

		

			

				
					
Log4j 漏洞,用lombok的Slf4j没有影响

				
			

			

				

					miaohancheng的博客
				

				

					12-15
					
					9940
					
				

			

		

		

			
				
漏洞描述

Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量

			
		

	





	

		

			

				
					
高性能日志框架 log4j 2 之 一

				
			

			

				

					G探险者的博客
				

				

					01-03
					
					1635
					
				

			

		

		

			
				
前言

本文是自学log4j2 ,参考阿帕奇官网,对log4j2 的官方文档翻译

Apache Log4j 2

Apache Log4j 2 是对 Log4j升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了许多 Logback 中可用的改进,同时修复了 Logback 架构中的一些固有问题。

重要:安全漏洞 CVE-2021-44832

摘要:当攻击者控制配置时,Apache Log4j2 通过 JDBC Appender 容易受到 RCE 的攻击。

细节

Apache Log

			
		

	



		

			
		



	

		

			

				
					
Log4j漏洞补救 Log4j2 + SLF4j 升级到最新版本

				
			

			

				

					zhaofuqiangmycomm的博客
				

				

					01-26
					
					1万+
					
				

			

		

		

			
				
原创:Log4j2 + SLF4j打造日志系统 - 云+社区 - 腾讯云

2019-01-15阅读2.3K0

目录

一:前言
	二:添加依赖
	2.1:去除直接和间接依赖的log4j1和SLF4j
		2.2:添加依赖
	
	三:xml配置
	3.1:log4j2.xml常用demo
		3.2:demo的优点
		3.3:内容详解
		3.4:demo变形
		3.4.1:同步打印日志
			3.4.2:全部异步打印日志
			3.4.3:混合模式打印日志
		
	
	四:其他
	4.1:Log日.

			
		

	





	

		

			

				
					
elasticsearch-7.13.3 升级log4jlog4j-2.17.1

				
			

			

				

					soso的博客
				

				

					04-03
					
					1803
					
				

			

		

		

			
				
2、下载后解压apache-log4j-2.17.1-bin.tar.gz。log4j低版本存在严重漏洞,根据需要升级到安全版本,不一定是最新。进入elasticsearch-7.13.3目录。log4j-2.17.1 jar包下载地址。5、重新启动elasticsearch服务。4、将需要升级的包拷贝到对应目录。升级需要用到截图中四个jar包。删除旧版本log4j

			
		

	





	

		

			

				
					
日志-Apache-log4j2-Java-下载慢

					
最新发布

				
			

			

				

					04-27
				

			

		

		

			
				
Apache Log4j2是Java平台上的一个开源日志框架,它是Log4j的下一代版本,提供了更为高效且灵活的日志记录功能。Log4j2在性能、可配置性、可扩展性和安全性方面都有显著提升,使得它成为企业级Java应用中广泛采用的...

			
		

	





	

		

			

				
					
log4j 1.2.17版本jar包

				
			

			

				

					12-14
				

			

		

		

			
				
Log4j 1.2.17虽然稳定,但请注意,较早的Log4j版本存在安全漏洞,例如著名的CVE-2021-44228(Log4Shell漏洞)。如果仍在使用这个版本,强烈建议升级到更安全的版本,以防止潜在的安全风险。  总的来说,Log4j 1.2.17...

			
		

	





	

		

			

				
					
slf4j-api-1.7.28.jar

				
			

			

				

					07-06
				

			

		

		

			
				
SLF4J的出现旨在解决Java日志库的混乱状况,为各种日志框架(如Log4j、Logback、Java Util Logging等)提供一个抽象层,使得应用程序可以在不修改代码的情况下切换日志实现。  "slf4j-api-1.7.28.jar"是SLF4J API的...

			
		

	





	

		

			

				
					
binutils-2.23.1.tar.bz2

				
			

			

				

					02-28
				

			

		

		

			
				
arm_linux交叉编译所需源文件,	 ...binutils-2.23.1.tar.bz2   glibc-2.18.tar.gz   gcc-4.8.2.tar.bz2   gmp-5.1.3.tar.bz2   mpfr-3.1.2.tar.bz2   mpc-1.0.1.tar.gz   linux-2.6.34.14.tar.bz2

			
		

	





	

		

			

				
					
python2-swift-2.23.1-1.el7.noarch.rpm

				
			

			

				

					12-31
				

			

		

		

			
				
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装

			
		

	





	

		

			

				
					
Apache Log4j漏洞解决,log4j版本升级2.15.0

					
热门推荐

				
			

			

				

					Java码农杂谈
				

				

					12-17
					
					1万+
					
				

			

		

		

			
				
文章目录前言一、查看当前log4j版本二、升级log4j版本

前言
   log4j发生了巨大漏洞,可以在远程直接在服务器上执行多种操作,被戏称log4shell,众多公司面临解决log4j漏洞问题,本文主要介绍log4j升级版本相关     

一、查看当前log4j版本

首先需要确认下当前项目是否引入了log4j?引入的log4j版本是多少?有些项目可能没有直接引入,但引入的其他组件中使用了log4j,所以需要仔细排查一下!

这里,我们可以使用IDEA编译器带的maven s.

			
		

	





	

		

			

				
					
10、升级ES-7.8.0的log4j版本

				
			

			

				

					小确幸的博客
				

				

					04-23
					
					1421
					
				

			

		

		

			
				
记录下升级 ES-7.8.0 的 log4j 的 jar 包。

			
		

	





	

		

			

				
					
Java 日志框架 Log4J

				
			

			

				

					追寻心的步伐
				

				

					01-17
					
					914
					
				

			

		

		

			
				
Log4J是Apache开源项目,通过使用Log4J,我们可以控制日志信息输送的目的地是控制台、文件、数据库等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。将自定义配置文件放置到resource目录下。

			
		

	





	

		

			

				
					
log4j从1.x平滑升级至2.x

				
			

			

				

					weixin_43872895的博客
				

				

					12-17
					
					5234
					
				

			

		

		

			
				
log4j从1.x平滑升级至2.x

			
		

	





	

		

			

				
					
Log4J的简单实用

				
			

			

				

					cxy_0330的博客
				

				

					03-27
					
					504
					
				

			

		

		

			
				
一、依赖

  <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
  <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId&gt...

			
		

	





	

		

			

				
					
Java 日志框架Log4J2

				
			

			

				

					追寻心的步伐
				

				

					06-06
					
					880
					
				

			

		

		

			
				
官网: https://logging.apache.org/log4j/2.x/Log4j2:其是Apache推出一个日志实现框架同时也是一个日志门面,是Log4j升级版,参考了logback的一些优秀设计并修复了一下问题,包含着重大的提升,主要有如下:异常处理:在logback中,Appender的异常不会被应用感知到,但是在log4j2中提供了一些异常处理机制。性能提升:Log4j2相对于log4j和logback都具有很明显的性能提升,大约有18倍。

			
		

	





	

		

			

				
					
/usr/local/bin/allure/allure-2.23.1: Not a directory

				
			

			

				

					08-22
				

			

		

		

			
				
根据引用的内容,"/usr/local/bin/allure/allure-2.23.1: Not a directory" 是一个错误提示,意味着该路径不是一个目录。根据引用中的错误1,这可能是因为全局工具配置的路径有问题导致的。请检查您的配置,确保正确指定了allure的路径。

此外,还有可能是由于其他原因导致的错误。比如引用中提到的"bash: /usr/bin/autocrorder: /usr/bin/python^M: bad interpreter: No such file or directory"错误提示,表明解释器找不到。这可能是因为指定的解释器路径不正确导致的。您可以检查并确保指定的解释器路径是正确的。

另外,根据引用中的错误2,如果您在生成报告时遇到了名字不一致的问题,可以检查一下shell脚本中的allure-result路径和生成报告的名字是否一致,确保它们是相同的。

最后,根据引用中的错误3,如果提示"pytest: not found",这意味着没有找到pytest命令。您可以将py.test的目录添加到环境变量中,确保系统可以找到pytest命令。

综上所述,如果您遇到了"/usr/local/bin/allure/allure-2.23.1: Not a directory"错误,需要检查全局工具配置的路径是否正确。此外,还要确保解释器路径正确,生成报告的名字和路径一致,并且系统能够找到pytest命令。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
#### 引用[.reference_title]
-  *1* [bash: /usr/bin/autocrorder: /usr/bin/python^M: bad interpreter: No such file or directory](https://download.csdn.net/download/weixin_38653878/12846530)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"]
-  *2* [allure报告---动态显示模块名和用例标题](https://blog.csdn.net/lixiaomei0623/article/details/120273737)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"]
-  *3* [python+allure+jenkins 集成接口自动化 问题总结](https://blog.csdn.net/May_JL/article/details/131974974)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"]
[ .reference_list ]

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值